Protection des données personnelles : les retoquées du RGPD

Neuf mois après l’entrée en vigueur du règlement général pour la protection des données (RGPD), la CNIL a épinglé une trentaine d’entreprises ayant manqué à leurs obligations.

Par Anne Rodier Publié aujourd’hui à 07h00

Temps de Lecture 5 min.

Article réservé aux abonnés

« Les amendes administratives représentent déjà plusieurs millions d’euros. Dernière en date, Google LLC a été condamné le 21 janvier à payer 50 millions d’euros pour non-respect du règlement européen RGPD. »

Neuf mois après l’entrée en vigueur du règlement général pour la protection des données (RGPD), le 25 mai 2018, les sanctions sont tombées. Toutes les entreprises n’étaient manifestement pas prêtes pour respecter le cadre légal. Mauvais état de préparation ? Risque choisi ou risque inévitable ? Une trentaine se sont vu retoquer leur politique de protection des données personnelles, sous forme de mise en demeure ou de sanction par la Commission nationale de l’informatique et des libertés (CNIL).

Les amendes administratives représentent déjà plusieurs millions d’euros. Dernière en date, Google LLC a été condamné le 21 janvier à payer 50 millions d’euros pour non-respect du règlement européen RGPD. « Une mesure qui souligne l’intention de la CNIL de prendre très au sérieux le traitement des plaintes contre les compagnies technologiques », commente Gregory Voss, chercheur à Toulouse Business School, bien que l’amende soit très en deçà de la sanction maximale fixée à 4 % du chiffre d’affaires de l’entreprise. Mais les géants du Net ne sont pas les seules entreprises concernées.

La première sanction lourde fondée sur le RGPD est tombée au Portugal, sur un hôpital proche de Lisbonne, l’hôpital de Barreiro condamné à une amende de 400 000 euros. En France, le même jour Uber était condamné par la CNIL à payer la même somme pour défaut de sécurité des données. Une semaine plus tard, c’était au tour de Bouygues Telecom. L’opérateur téléphonique recevait une amende de 250 000 euros pour ne pas avoir « assuré la confidentialité des données » de deux millions de clients.

« Une prise de conscience »

Depuis 2017, une trentaine d’entités ont ainsi été mises en demeure ou sanctionnées pour des faits relatifs à la protection des données (les décisions prononcées avant le 25 mai 2018 sont fondées sur l’ancienne loi informatique et liberté, modifiée par le RGPD). « Ce ne sont pas seulement des grandes entreprises », remarque Sylvain Staub. Public, privé, tous les secteurs sont concernés. Opérateur téléphonique, commerce d’électroménager, mutuelle, organisme de formation ou d’habitat public, la moitié d’entre elles sont des entreprises de services du secteur privé.

Les entreprises s’étaient pourtant préparées, recrutant ou nommant des délégués à la protection des données (DPO), rattachés à la direction informatique ou juridique, voire à la direction générale directement. Des processus internes ont été vérifiés, des politiques de sensibilisation des salariés mises en place, parfois avec des e-learning obligatoires.

Источник: Lemonde.fr

Источник: Corruptioner.life

Share

You may also like...